On 06/26/2015 09:46 AM, Samuele wrote: > Il 25/06/2015 18:35, Alessandro Barenghi ha scritto: >> On 06/25/2015 03:10 PM, Lorenzo Nicolodi wrote: >>> occhio ad una cosa... se non la offuschi in qualche maniera, la chiave >>> all'interno dell'eseguibile la recuperi in 12 nanosecondi con binwalk! >> Direi che non è un problema: la verifica di firma RSA usa la chiave >> pubblica. > > Inizialmente lo pensavo anche io, però poi mi ha fatto riflettere e ho > pensato che: > - l'utente recupera dal binario la chiave pubblica; Ok. > - decritta il file di licenza; Non è cifrato, è semplicemente firmato: quello che ottiene verificando la firma è la hash del messaggio, opportunamente codificata.
> - genera una sua chiave pubblica/privata; No: ha a disposizione solo la chiave pubblica, derivare la privata dal materiale della pubblica non è fattibile se le chiavi hanno una lunghezza decente. > - critta il nuovo file di licenza con il s/n nuvoo; No, non può firmare una licenza nuova non avendo una privata. > - sostituisce nel binario la mia chiave pubblica con la sua. > Può farlo, ma non la firma che hai apposto tu non verrà validata da un' altra pubblica, quindi è inutile. Alex ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
